Los ataques efectuados del lado del cliente, son en los que más se llevan a cabo de manera remota. Sin embargo, este tipo de ataques siempre requieren de la interacción del que será la víctima.
En el caso de que sea un ataque dirigido, generalmente existe una etapa de reconocimiento de la víctima en la que incluso se llegan a aplicar técnicas de ingeniería social para ser más efectivos.
Muchas veces, este método de ataque se realiza de manera masiva para sumar zombies a una botnet, infectar con spyware, ransomware, etc.
Cuando hablamos de client side attack, podemos enumerar gran cantidad de formas, pdf o documentos de ofimática con payloads de embebidos, vulnerabilidades en browsers o en sus complementos como es el caso de flash player, entre otros.
Veamos como realizar un ataque paso a paso. Para el siguiente ejemplo, necesitamos un Internet Explorer 8 y para más adelante el adobe reader v8.
1- Buscamos un exploit para el browser, para este ejemplo utilizaremos el 24017.html
2- Movemos el exploit al directorio del apache
cp ‘path’ /var/www’
3- Inicializamos el apache.
service apache2 start
4- Vamos a la vm víctima e ingresamos al path malicioso ‘DirecciónIP/archivo’
en mi caso http://192.168.206.130/24017.html
5- Volvemos al kali y corremos un nc a la ip y puerto
Obviamente ésto es un ejemplo y es muy poco probable que nuestra posible víctima ingrese a una url como la que hemos visto.
Ahora bien, aquí no hemos conectados nosotros con nc, cosa que no es conveniente de realizar en un escenario más realista. Para esto, debemos modificar el shellcode del exploit.
1- Llamamos a msfpayload o msfvenom al cual le indicamos que queremos una shell reversa por tcp en entorno windows, la dirección ip a la cual se debe conectar y el puerto.
2- Abrimos el exploit y modificamos el shellcode
3- En el kali levantamos un nc escuchando al puerto que hemos seteado en el shellcode.
nc -nlvp 444
4- Vamos nuevamente al windows y accedemos a la url maliciosa.
5- Se levanta la shell reversa.
Esta es sólo una forma de obtener acceso a la máquina víctima explotando un browser vulnerable, si buscamos un poco en exploit-db podremos encontrar unos cuantos más para distintos navegadores e incluso para los complementos de los mismos.
Sería un buen ejercicio que identifiquen exploits para el browser que utilizan a diario e intenten explotarlo.
Podríamos seguir viendo por largo rato realizando pruebas contra navegadores y ni hablar de las distintas versiones de flash player, pero conceptualmente todas son iguales.
Veamos entonce otra forma de client side attack, esta vez utilizando un poco de metasploit (más adelante profundizaremos en el framework) embebiendo un shellcode en un pdf. Para esto necesitaremos que la máquina windows víctima tenga adobe reader v8.
1- Levantamos el metasploit con msfconsole
2- Llamamos al exploit adobe_pdf_embedded_exe, podemos ver las opciones del mismo con show options
3- Definimos con set el payload, el puerto e ip al cual queremos que se conecte la carga.
4- Ya tenemos nuestro pdf con el shellcode embebido, lo pasamos a nuestro web server.
5- Ahora por medio de alguna campaña malintencionada que omitiremos distribuimos el pdf, en nuestro caso, solo vamos a la máquina víctima accedemos por el apache, descargamos el pdf y lo ejecutamos.
Nos aparecerá una ventana para guardarlo y un mensaje algo raro, le decimos que lo guarde y en el popup hacemos click en open
6- Mientras tanto en el kali levantamos un handler al que le seteamos el puerto que debe escuchar y a esperar a que el shellcode se conecte.
Me gustaría que prueben que es lo que pasa si en lugar de levantar el handler en metasploit levantan el nc a escuchar sobre el puerto que hemos definido (en este ejemplo el 1234).
No se preocupen por metasploit, ya veremos un módulo específico sobre ésta herramienta, en en este caso la utilizamos sólo para llevar a cabo una forma distinta de client side attack.
Otro ejercicio que sería bueno que realicen es que en lugar de embeber el shellcode en un pdf, lo hagan en un word o un excel, busquen la forma y la dejan en los comentarios.
Como siempre, cualquier duda o consulta, estamos por aquí.
Regards, @balderramaeric
